まず、Windows Server 2003やWindows XPを使っている場合は問題がある。XPでは、特別な契約を結んでない限り、もうサポートを受けられず、Windows Server 2003のサポートも7月に終了する。新しいバージョンのWindowsに乗り換えるべき時期はとっくに過ぎている。早く移行に取りかかろう。
次に、(上述のWindows Server 2003や)Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、Windows RT 8.1、Server Coreインストール オプションを使っている人は、Microsoftが米国時間3月10日、Schannelの脆弱性を修正するパッチを公開している。影響を受けるソフトウェアを利用している場合はこの更新プログラムを適用しよう。
LinuxサーバやBSDサーバについては、最新バージョンのOpenSSLやLibReSSLに即刻アップデートすべきだ。
それが終わったら、「Server Side TLS」のセットアップ方法に関するMozillaのガイドに従うようお勧めする。特に、推奨構成「Intermediate」を採用すべきだ。「Modern」構成を採用した場合、皆さんのウェブサイトにWindows XPや「Android 2.3」でアクセスしようとするユーザーが、安全に接続できなくなる。
Mozillaはウェブサイト管理者に対し、オープンソースの「Nginx」ウェブサーバを使うよう推奨している。Mozillaはその理由を次のように書いている。「Nginxは現時点で最高のTLSサポートを提供する。『OCSP Stapling』、カスタムDHパラメータ、OpenSSLのすべてのTLSバージョンを提供する唯一のデーモンである」。筆者もMozillaの推奨事項に賛成だ。
Apache、Nginx、「HAProxy」をセットアップして、FREAKに適切に対処する最も簡単な方法は、「Mozilla SSL Configuration Generator」を使うことだ。このウェブプログラムは、ウェブサーバの設定ファイルに必要なコードを生成する。ぜひともお勧めしたい。
サーバのセットアップが完了したら、使用しているOSやウェブサーバの種類に関係なく、Qualys SSL Labsの「SSL Server Test」ツールで設定をチェックしよう。このプログラムは、SSLに関連するさまざまな問題を調べてくれる。
今注意すべきは、FREAK攻撃を受ける可能性だ。使っているウェブサーバで脆弱な暗号スイートがまだサポートされている場合は、やるべきことは他にもある。サーバが「TLS_FALLBACK_SCSV」をサポートしているなら、これもFREAK攻撃から守ってくれるだろう。
エンドユーザーにとって、現在のところ安全を確保する最も簡単な方法は、ChromeかFirefoxの最新バージョンを使ってウェブブラウジングをすることだ。近日中にすべてのブラウザに修正がリリースされる見通しだが、IDやパスワードが盗まれるリスクを冒す必要はない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
